TA453 richt zich op medisch personeel VS en Israël

proofpoint

Eind 2020 lanceerde TA453, een Iraanse criminele groep, een phishing-campagne gericht op senior medische professionals die gespecialiseerd zijn in genetisch, neurologisch en oncologisch onderzoek in de Verenigde Staten en Israël. TA453 (ook bekend als CHARMING KITTEN en PHOSPHORUS) heeft zich in het verleden geschaard achter de spionageactiviteiten van de Islamitische Revolutionaire Garde (IRGC). Hierbij waren meestal dissidenten, academici, diplomaten en journalisten het doelwit. Deze laatste campagne, BadBlood genoemd, wijkt af van de gebruikelijke activiteiten van de groep. 
 
Hoewel deze campagne een verschuiving kan betekenen in de activiteiten van TA453 in het algemeen, kan hij ook het resultaat zijn van een specifieke behoefte aan informatie op korte termijn. BadBlood past in een groeiende trend waarbij medisch onderzoek steeds vaker het doelwit is van cybercriminelen.
 
Onderzoekers van Proofpoint hebben deze campagne BadBlood genoemd op basis van de medische focus en de aanhoudende geopolitieke spanningen tussen Iran en Israël.
 
Credential phishing-campagne:
  • In deze campagne uit december 2020 gebruikte TA453 een overgenomen Gmail-account en deed zich voor als een prominente Israëlische natuurkundige. Het account (zajfman.daniel[@]gmail.com) stuurde berichten met als onderwerp "Nucleaire wapens in een oogopslag: Israël" en bevatte social engineering-berichten met betrekking tot de Israëlische nucleaire capaciteiten.
  • Deze schadelijke e-mails bevatten een link naar het door TA453 beheerde domein 1drv[.]casa. Wanneer hierop wordt geklikt, leidt de URL naar een landingspagina die de OneDrive-service van Microsoft imiteert, samen met een afbeelding van een PDF-documentlogo met de naam "CBP-9075.pdf".
  • Wanneer een gebruiker probeert het PDF-document te bekijken en te downloaden, opent 1drv[.]casa een vervalste Microsoft-inlogpagina waarop wordt geprobeerd de inloggegevens van de gebruiker te achterhalen.
  • Pogingen om een andere hyperlink op de webpagina te gebruiken, leiden naar dezelfde vervalste Microsoft-inlogpagina, met uitzondering van de link "Create one!". Dit tabblad leidt naar de legitieme aanmeldpagina van Microsoft Outlook op hxxps://signup.live[.]com.
  • Zodra de gebruiker een e-mailadres heeft ingevoerd en op "Volgende" heeft geklikt, wordt op de pagina om een wachtwoord gevraagd.
  • Zodra een gebruiker zijn inloggegevens heeft ingevoerd, wordt hij doorgestuurd naar Microsofts OneDrive waar het ongevaarlijke document "Nucleaire wapens in een oogopslag: Israël" wordt gehost.
 
Op dit moment lijkt het er niet op dat 1drv[.]casa multifactor-authenticatie op enige manier omzeilt. Proofpoint heeft op dit moment geen verder inzicht in hoe TA453 inloggegevens heeft gebruikt die uit deze specifieke campagne zijn verkregen. Openbare rapportage van CERTFA toont wel aan dat TA453 eerder verzamelde inloggegevens heeft gebruikt om de inhoud van e-mail inboxen uit te lezen.
 
In enkele eerdere campagnes hebben Iraans-georiënteerde cybercriminelen, waaronder TA453, overgenomen accounts gebruikt voor verdere phishing.
 
Doelwitten:
  • TA453 richtte zich op minder dan 25 senior professionals bij een verscheidenheid aan medische onderzoeksorganisaties in de VS en Israël. Uit analyse door Proofpoint van de aanvallers en openbaar beschikbare onderzoeksactiviteiten blijkt dat TA453 zich richtte op personen met een achtergrond in genetica, oncologie, of neurologie.
  • Bovendien is TA453, dat zich richt op Israëlische organisaties en personen, consistent met de toegenomen geopolitieke spanningen tussen Israël en Iran in 2020.
Hoewel Proofpoint TA453 niet met zekerheid kan toeschrijven aan de IRGC, komen de tactieken en technieken die zijn waargenomen in BadBlood overeen met die van eerdere TA453-campagnes. Maar ook de algemene focus van TA453-campagnes lijken de prioriteiten van de IRGC op het gebied van informatieverzameling te ondersteunen.
 
Vooruitzicht:

TA453 heeft consequent laten zien de inhoud van e-mailboxen van typische doelwitten van de Iraanse regering, zoals de Iraanse diaspora, beleidsanalisten en onderwijzers, te willen verzamelen en exfiltreren. Deze campagne van TA453 richtte zich echter ook op medische onderzoekers en zorgverleners. Verdere opsporing en analyse van TA453-campagnes zal waarschijnlijk uitwijzen of deze focus een uitzondering is, of dat de medische sector een vast doelwit is geworden voor TA453 Hoewel de aanvallen op medische deskundigen op het gebied van genetica, neurologie en oncologie misschien geen blijvende koerswijziging is voor TA453, duidt het er wel op dat de prioriteiten bij het verzamelen van TA453 op zijn minst tijdelijk zijn gewijzigd. BadBlood past in een wereldwijde trend dat medisch onderzoek steeds vaker het doelwit is van spionagegerichte cybercriminelen.

Lees ook
Denktank geeft adviezen voor toepassen AI in cybersecurity

Denktank geeft adviezen voor toepassen AI in cybersecurity

Steeds meer organisaties maken kunstmatige intelligentie (AI) en machine learning (ML) onderdeel van hun IT-beveiligingsstrategie. De Cyber Resilience Think Tank , een internationale denktank van toonaangevende securityexperts, doet nu een aantal aanbevelingen voor een effectieve en veilige inzet van deze technologieën.

Kaspersky lanceert nieuw MDR-product op basis van machine learning voor MKB

Kaspersky lanceert nieuw MDR-product op basis van machine learning voor MKB

Kaspersky lanceert een nieuwe reeks detectie- en respons of MDR-services (Managed Detection and Response), die 24/7 bescherming bieden. Gebaseerd op machine learning, stelt deze nieuwe versie van Kaspersky MDR IT-beveiligingsteams in staat zich te concentreren op dreigingsanalyse en -beheer

Ruim helft slachtoffers ransomware betaalt losgeld, slechts een kwart krijgt bestanden volledig terug

Ruim helft slachtoffers ransomware betaalt losgeld, slechts een kwart krijgt bestanden volledig terug

Volgens een wereldwijd onderzoek onder 15.000 consumenten, uitgevoerd door Kaspersky, betaalde meer dan de helft (56%) van de ransomware-slachtoffers vorig jaar het losgeld om toegang tot hun gegevens te herstellen. In 17% van de gevallen was het betalen van het losgeld geen garantie tot teruggave van gestolen gegevens